Cryptocurrency Exchange bliver offer for et hidtil uset og ødelæggende Mac Malware-angreb
I en nylig opdagelse har forskere afsløret en ny stamme af Mac-malware, der er rettet mod en kryptovalutaudveksling, hvilket udgør en væsentlig trussel mod sikkerheden af brugernes midler. Denne sofistikerede malware, kaldet JokerSpy, udviser en bred vifte af muligheder, herunder datatyveri, download og eksekvering af truende filer og potentiel funktionalitet på tværs af platforme. JokerSpy er skrevet i Python og udnytter SwiftBelt, et open source-værktøj, der oprindeligt var beregnet til legitim sikkerhedstest. Den første eksponering af JokerSpy kom frem gennem en sikkerhedsrapport, der afslørede dens eksistens og gav anledning til bekymring om dens potentielle tilgængelighed på Windows- og Linux-platforme. Denne udvikling fremhæver cryptocurrency-børsers løbende udfordringer og det konstante behov for robuste sikkerhedsforanstaltninger for at beskytte mod nye trusler.
Indholdsfortegnelse
Truslens anatomi
JokerSpy-malwaren dukkede op, efter at et bestemt endepunktsbeskyttelsesværktøj opdagede en mistænkelig binær fil kaldet xcc. Offeret for malwaren var en velkendt kryptovalutabørs i Japan. Da xcc-filen dukkede op, forsøgte hackerne bag JokerSpy at omgå macOS' sikkerhedsbeskyttelse, kendt som TCC, som kræver eksplicit brugertilladelse for, at applikationer kan få adgang til følsomme data og ressourcer. Trusselsaktørerne erstattede den eksisterende TCC-database med deres egen, hvilket sandsynligvis forhindrer advarsler i at dukke op, når JokerSpy var aktiv. I tidligere angreb har hackere udnyttet sårbarheder i TCC-beskyttelsen til at omgå dem, og forskere har påvist lignende angreb.
Hovedmotoren i JokerSpy malware har flere bagdørsfunktioner, der tillader uautoriserede handlinger og giver kontrol over det kompromitterede system. Disse funktionaliteter inkluderer at stoppe udførelsen af bagdøren (sk), angive filer i en specificeret sti (l), udføre shell-kommandoer og returnere output (c), ændre den aktuelle mappe og angive den nye sti (cd), eksekvere Python-kode inden for den aktuelle kontekst ved hjælp af en angivet parameter (xs), afkodning og udførelse af Base64-kodet Python-kode (xsi), fjernelse af filer eller mapper fra systemet (r), eksekvering af filer fra systemet med eller uden parametre (e), upload af filer til det inficerede system (u), download af filer fra det inficerede system (d), hentning af den aktuelle konfiguration af malwaren fra konfigurationsfilen (g) og tilsidesættelse af malwarens konfigurationsfil med nye værdier (w).
Disse kommandoer giver JokerSpy malware mulighed for at udføre forskellige uautoriserede handlinger og udøve kontrol over det kompromitterede system.
Som rapporteret, når et system er kompromitteret og inficeret med en malware som JokerSpy, får angriberen betydelig kontrol over systemet. Med en bagdør kan angribere dog endda installere yderligere komponenter diskret og potentielt udføre yderligere udnyttelser, observere brugernes handlinger, indsamle login-legitimationsoplysninger eller cryptocurrency-punge og udføre andre skadelige aktiviteter.
Infektionsvektor i øjeblikket ukendt
Forskere er stadig usikre på den præcise metode til JokerSpys installation. Nogle mener stærkt, at det oprindelige adgangspunkt for denne malware involverede et usikkert eller kompromitteret plugin eller tredjepartsafhængighed, der gav trusselsaktøren uautoriseret adgang. Denne teori stemmer overens med observationer foretaget af Bitdefender-forskere, som fandt et hårdkodet domæne i en version af sh.py-bagdøren, der linker til tweets, der diskuterer en inficeret macOS QR-kodelæser med en usikker afhængighed. Det blev også bemærket, at den observerede trusselsaktør allerede havde eksisterende adgang til den japanske cryptocurrency-børs.
For at identificere potentiel målretning af JokerSpy kan enkeltpersoner kigge efter specifikke indikatorer. Disse omfatter kryptografiske hashes af forskellige eksempler på xcc og sh.py og kontakt med domæner, såsom git-hub[.]me og app.influmarket[.]org. Mens JokerSpy oprindeligt gik ubemærket hen af de fleste sikkerhedsmotorer, kan et bredere udvalg af motorer nu opdage det. Selvom der ikke er nogen bekræftelse på eksistensen af Windows- eller Linux-versioner af JokerSpy, er det vigtigt at være opmærksom på, at denne mulighed eksisterer.
Cryptocurrency Exchange bliver offer for et hidtil uset og ødelæggende Mac Malware-angreb Skærmbilleder
